【技术实现步骤摘要】
一种基于沙箱环境的样本分析方法和装置
[0001]本专利技术涉及计算机
,尤其涉及基于沙箱环境的样本分析方法和装置。
技术介绍
[0002]自动化分析样本的时候沙箱内环境基本是统一的,应用种类众多是一方面,另一方面每种应用也不只一种版本。一个沙箱环境搭载多个应用及版本显然是比较困难的。在海量分析样本的时候,被分析的样本可能需要的应用环境多种多样,而沙箱内的分析环境一成不变,这就导致样本的行为不能够被完全触发,将直接影响样本分析的效率和准确性。
[0003]因此,针对以上不足,需要提供一种基于沙箱环境的样本分析方法和装置。
技术实现思路
[0004]本专利技术要解决的技术问题在于基于沙箱环境的样本分析的效率和准确性不高,针对现有技术中的缺陷,提供一种基于沙箱环境的样本分析方法和装置。
[0005]为了解决上述技术问题,本专利技术提供了一种基于沙箱环境的样本分析方法,包括:
[0006]获取待分析样本在执行过程中所调用的API的参数信息,所述参数信息的类型包括注册表、文件、服务、进程...
【技术保护点】
【技术特征摘要】
1.一种基于沙箱环境的样本分析方法,其特征在于,包括:获取待分析样本在执行过程中所调用的API的参数信息,所述参数信息的类型包括注册表、文件、服务、进程和窗体;判断所调用的API的参数信息和预先构建好的特征库中存储的参数信息是否匹配;如果是,则将所述特征库中与所调用的API的参数信息相匹配的参数信息发送给该API,以进行环境创建;如果否,则将与所调用的API的参数信息的类型相同的参数信息发送给该API,以进行环境创建;对所述待分析样本进行样本分析。2.根据权利要求1所述的方法,其特征在于,所述获取待分析样本在执行过程中所调用的API的参数信息,包括:构造跳转指令;在内存中获取待hook的API的地址;将所述跳转指令写入待hook的API的地址的预设位置,以获取待分析样本在执行过程中所调用的API的参数信息。3.根据权利要求1所述的方法,其特征在于,在所述获取待分析样本在执行过程中所调用的API的参数信息之后和在所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配之前,进一步包括:对获取的API的参数信息进行格式化处理;利用该API经格式化处理得到的参数信息,执行所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配。4.根据权利要求3所述的方法,其特征在于,所述对获取的API的参数信息进行格式化处理,包括:对获取的API的参数信息的类型进行一次格式化处理;当获取的API的参数信息的类型为注册表或文件时,对获取的API的参数信息进行二次格式化处理。5.根据权利要求1所述的方法,其特征在于,在所述获取待分析样本在执行过程中所调用的API的参数信息之后和在所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配之前,进一步包括:判断沙箱环境中是否存在与所调用的API的参数信息相同的参数信息;如果是,则跳转执行所述对所述待分析样本进行样本分析;如果否,则执行所述判断所调用的API的参数信息和预先构建好的特征库存储的参数信息是否匹配。6.根据权利要求1所述的方法,其特征...
【专利技术属性】
技术研发人员:李林哲,程震,关墨辰,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。